Fredensborg Kommune Politik for informationssikkerhed 1.2 23-11-2017
Informationssikkerhedspolitik for Fredensborg Kommune Informationssikkerhedspolitik Sikkerhedspolitikken skal til enhver tid understøtte Fredensborg Kommunes værdigrundlag og vision samt strategiske mål. Hensigten med sikkerhedspolitikken er endvidere, at tilkendegive over for alle, som har en relation til Kommunen, at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinier. Fredensborg Kommune ønsker derfor at opretholde og løbende udbygge, et IT-sikkerhedsniveau på højde med de krav, som stilles i ISO 27001 og i Bekendtgørelse om sikkerheds-foranstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, bekendtgørelse nr. 201 af 22. marts 2001 (Sikkerhedsbekendtgørelsen), samt på særligt veldefinerede områder, hvor der er specielle lovkrav, aftaleretslige forhold eller særlig risiko. ISO27001 er en international standard til styring af informationssikkerhed. ISO'en er valgt som afløser DS484 som kommunens sikkerhedsstandard efter DS484. Fastholdelse og udbygning af et højt sikkerhedsniveau er en væsentlig forudsætning for, at Fredensborg Kommune fremstår troværdig. For at fastholde Fredensborg Kommunes troværdighed skal det sikres, at information behandles med fornøden fortrolighed, og at der sker fuldstændig, nøjagtig og rettidig behandling af godkendte transaktioner. IT-systemer betragtes, næstefter medarbejderne, som Fredensborg Kommunes mest kritiske ressource. Der lægges derfor vægt på driftsikkerhed, kvalitet, overholdelse af lovgivningskrav og på at systemerne er brugervenlige, dvs. uden unødigt besværlige sikkerhedsforanstaltninger. Der skal skabes et effektivt værn mod IT-sikkerhedsmæssige trusler, således at Fredensborg Kommunes image og medarbejdernes tryghed og arbejdsvilkår sikres bedst muligt. Beskyttelsen skal være vendt imod såvel naturgiven som tekniske og menneskeskabte trusler. Alle personer betragtes som værende mulig årsag til brud på sikkerheden; dvs. at ingen persongruppe skal være hævet over sikkerhedsbestemmelserne. Målene er derfor at: Opnå høj driftsikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab = TILGÆNGELIGHED Opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer = INTEGRITET og Opnå fortrolig behandling, transmission og opbevaring af data = FORTROLIGHED. Ovenstående mål skal konkretiseres i aftaler om service niveau i "Service Level Agreements" (SLAs) og kontrakter overfor samarbejdspartnere. Regler og retningslinjer fra informationssikkerhedspolitikken skal løbende indarbejdes i de relevante gældende regler Håndbog for Informationssikkerhed og på personalepolitikkens område. Sikkerhedskonceptet omfatter følgende: En informationssikkerhedspolitik, der godkendes af byrådet på baggrund af indstilling fra Direktionen En Informationssikkerhedshåndbog, der uddyber informationssikkerhedspolitikken, fastlægges af Styregruppen og Sikkerhedsinstrukser og -procedurer, som formuleres af respektive ejere og afdelingsledere ud fra krav og retningslinier i Informationssikkerhedshåndbog. Politikken er gældende for alle Fredensborg Kommunes informationsrelaterede aktiviteter, uanset om disse udføres af ansatte i Kommunen eller af samarbejdspartnere. Informationssikkerhedspolitikken har gyldighed for alle ansatte i Fredensborg Kommune og i institutioner, hvor der er indgået driftsoverenskomst for al anvendelse af Fredensborg Kommunes informationsaktiver. Organisation og ansvar Byrådet har ansvaret for at godkende og vedligeholde informationssikkerhedspolitikken. Side 1 af 5
Direktionen har ansvaret for at fastlægge et passende sikkerhedsniveau for informationsaktiverne baseret på en overordnet risikovurdering. Kommunaldirektøren er Fredensborg Kommunes øverste informationssikkerhedsansvarlige og har ansvaret for at udarbejde og føre tilsyn med informationssikkerhedspolitikken. Herudover er der en række roller med ansvar og tilhørende myndighed, som er nærmere beskrevet i bilag 1 til denne politik. Beredskabsplanlægning Katastrofer søges undgået gennem en veltilrettelagt fysisk sikring og overvågning af bygninger, tekniske installationer og IT-udstyr. Omfanget af disse foranstaltninger besluttes ud fra en afvejning af risici i mod sikringsomkostninger og udmøntes i aftale om service niveau i SLA. I Fredensborg Kommunes beredskabsplan skal Kommunens og partnernes ansvar for sikkerhedskopiering og nødplaner entydigt præciseres. Beredskabsplanerne skal omfatte: Skadebegrænsende tiltag Etablering af temporære nødløsninger og Genetablering af permanent løsning. Beredskabsplanerne skal ajourføres og testes løbende mindst en gang om året. Sanktionering Medarbejdere, der bryder de gældende informationssikkerhedsbestemmelser i Fredensborg Kommune, kan straffes disciplinært. De nærmere regler om dette fastsættes i overensstemmelse med den gældende personalepolitik Ikrafttrædelse Informationssikkerhedspolitikken er godkendt af Fredensborg Byråd den 29. august 2007. Bilag og Håndbog til Informationssikkerheds-politikken er løbenede opdateret opdateret i forbindelse med organisatoriske ændringer sendes 1. februar 2016. Bilag 1. Organisation og ansvar Direktørområderne Den enkelte Direktør har ansvar for at: informationssikkerhedspolitikken og de regler, der er relevante for direktørens ansvarsområde, er kendte og efterleves medarbejderne gennem uddannelse og udvikling opnår sikkerhedsbevidsthed om nødvendigheden af at overholde de sikkerhedsmæssige retningslinjer der, efter behov, udarbejdes yderligere dokumentation vedr. sikkerhed for de enkelte afdelinger der ved installation af nye systemer gennemføres en forudgående sikkerheds-/risikovurdering koordinere opklaringsarbejdet ved konstateret eller begrundet mistanke om sikkerhedsbrud. Resultatet rapporteres til Journalen og retningslinierne for ansættelse, introduktion, løbende vurdering, funktionsskift og afvikling af medarbejdere overholdes. Der skal tilstræbes uafhængighed af enkeltpersoner gennem etablering af personbackup for de medarbejdere, der er alene om at dække specialer eller systemer af væsentlig betydning for Fredensborg Kommune. Som supplement hertil skal dokumentationen hørende til disse områder også holdes ajourført og evt. udbygges. Styregruppen for Informationssikkerhed Side 2 af 5
Styregruppen er normgivende og fastsætter på grundlag af den vedtagne informationssikkerhedspolitik de principper/retningslinier, der skal sikre opfyldelse af målene. Styregruppen behandler alle sikkerhedsspørgsmål af principiel karakter. Styregruppen udarbejder en årlig vurdering til den øverste sikkerhedsansvarlige af informationssikkerhedspolitikken og de tilknyttede sikkerhedsretningslinier, herunder at disse lever op til de eksterne forpligtelser udtrykt i lovgivning og kontrakter/aftaler. Styregruppen vurderer samtidig, om der er behov for fornyet risikovurdering/ konsekvensanalyse. Styregruppen kan ad hoc lade sig supplere med faglig assistance. System-ejere System-ejere, der er ansvarlig for det enkelte fagsystem, softwareprodukt o. lign. har ansvar for at: der udarbejdes en kravspecifikation, som tager eksplicit hensyn til sikkerhedsmæssige forhold forud for Data ejeren har ansvar for at: der udarbejdes en risikovurdering i henhold til kravene hertil (for systemtilknyttede data i samarbejde med system-ejeren) der inden indrapportering af data i systemer foreligger konkrete regler og procedurer for regulering og Ejeren af det fysiske aktiv har ansvar for at: der udarbejdes en kravspecifikation ved placering, indretning, forandring m.v. som tager eksplicit hensyn til enhver systemudvikling/-ændring/-anskaffelse der udarbejdes en risikovurdering i henhold til kravene hertil retningslinierne følges ved enhver ændring af systemet der ved idriftsætning af systemet foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav hertil autorisere adgangen til systemet i henhold til retningslinierne herfor og foretage opfølgning og rapportering af sikkerhedsbrud til Styregruppen. I de situationer, hvor der ikke er funktionsadskillelse (autorisation/ administration), kompenseres med andre sikkerhedsforanstaltninger, som udmøntes i retningslinierne og konkret i regler og procedurer for systemadministrationen. Data ejere administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav hertil autorisere adgangen til data i henhold til retningslinierne herfor og foretage opfølgning og rapportering af sikkerhedsbrud til Styregruppen. I de situationer, hvor der ikke er funktionsadskillelse (autorisation/ administration), kompenseres med andre sikkerhedsforanstaltninger, som udmøntes i retningslinierne og konkret i regler og procedurer for dataadministrationen. Ejere af fysiske aktiver Alle fysiske aktiver får udpeget/tildelt en ejer. Såfremt aktivet er omfattet af en aftale om ekstern drift (hosting), tages der hensyn hertil i aftalegrundlaget med samarbejdspartneren, f.eks. ved at pålægge samarbejdspartneren at foretage forskellige former for kontrol og opfølgning, og rapportere herom. sikkerhedsmæssige forhold. der udarbejdes en risikovurdering i henhold til kravene hertil der ved ibrugtagning af lokaler/udstyr foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav hertil autorisere adgangen til lokalerne/ udstyret i henhold til retningslinierne herfor og Side 3 af 5
foretage opfølgning og rapportering af sikkerhedsbrud til Styregruppen. I de situationer, hvor der ikke er funktionsadskillelse (autorisation/ administration), kompenseres med andre sikkerhedsforanstaltninger, som udmøntes i retningslinierne og konkret i regler og procedurer for fysisk sikkerhed og adgangsadministrationen. Medarbejdere Funktionsadskillelse er det bærende kontrolprincip på såvel person- som organisationsplanet. Hvor dette ikke er praktisk eller økonomisk hensigtsmæssigt, skal kompenserende kontroller indføres. Den enkelte medarbejder har ansvar for at: overholde informationssikkerhedspolitikken konkretiseret i God Administrativ Praksis og de regler, der er relevante for den enkeltes arbejdsopgaver og rapportere om eventuelle sikkerhedsbrud eller mistanke herom til nærmeste leder og til Styregruppen Samarbejdspartnere Samarbejdspartnere har en meget væsentlig del af ansvaret for at det valgte sikkerhedsniveau etableres og opretholdes. Samarbejdspartnerne har ansvar for at: Fredensborg Kommunes informationssikkerhedspolitik og de regler, der er relevante for deres enhver tid afspejler krav fra Fredensborg Kommune medarbejderne gennem uddannelse og udvikling opnår sikkerhedsbevidsthed om nødvendigheden af at ansvarsområde, er kendte og efterleves, mest hensigtsmæssigt ved at egne sikkerhedspolitikker og regler til overholde de sikkerhedsmæssige retningslinjer, herunder tiltrædelseserklæringen der, efter behov, udarbejdes yderligere dokumentation vedr. sikkerhed for samarbejdspartnerens område der ved installation af nye og modifikation af eksisterende interne systemer og komponenter med påvirkningsmulighed til Fredensborg Kommunes informationsaktiver gennemføres en forudgående risiko- /sikkerhedsvurdering og koordinere opklaringsarbejdet ved konstateret eller begrundet mistanke om sikkerhedsbrud. Hændelsen og resultatet rapporteres via egen sikkerhedsorganisation til Journalen. ISO 27000X ISO27001 er en international standard til styring af informationssikkerhed. ISO27000-serien består af en række standarder med indbyrdes relationer. Nogle af disse standarder opstiller krav (normative), mens andre er vejledende i forhold til forskellige aspekter af implementering af et ledelsessystem for informationssikkerhed. Det er ikke alle disse standarder, der er udkommet, og der kommer stadig nye til. Normative og vejledende krav ISO27001 er en normativ standard det vil sige, at den stiller krav i en serie af standarder kaldet 27000- familien af standarder. Den anden normative standard er ISO27006. I familien indgår der udover de to normative standarder en række standarder med retningslinjer for, hvordan en organisation kan implementere og overholde de normative standarder. Nedenfor er en oversigt over de vigtigste standarder i 2700X-familien: ISO27001 Indeholder normative krav til, hvorledes et informationssikkerhedsledelsessystem skal implementeres og vedligehold ISO27002 Indeholder en liste af alment anerkendte retningslinier for kontroller, der kan bruges som hjælp ved udvælgelsen og implementeringen af de kontroller, der er nødvendige for at opnå passende informationssikkerhed i en given organisation ISO27003 Indeholder retningslinjer for implementering af ISO/IEC 27001 Side 4 af 5
ISO27004 Indeholder retningslinjer for, hvordan man kan måle effektiviteten af et informationssikkerhedsledelsessystem ISO27005 Indeholder retningslinjer for risikovurdering og -styring ISO27006 Indeholder normative krav til organisationer, der skal certificere andre organisationer efter ISO/IEC 27001 ISO27007 Indeholder retningslinjer for, hvordan man kan udføre revision af et informationssikkerhedsledelsessystem Hvorfor ISO27001? Der er flere grunde til valget af ISO27001 som sikkerhedsstandard: standarden tager udgangspunkt i den enkelte kommunes risikoprofil og lægger op til, at der implementeres netop de sikkerhedsforanstaltninger og kontrolprocedurer, der er passende for den enkelte institution, ISO27001-standarden lægger stor vægt på ledelsens engagement og bevidste stillingtagen til hvilke procedurer, der skal indføres og hvordan, Standarden indeholder en liste af mulige kontroller, der kan indføres for at opnå et passende sikkerhedsniveau, men den lægger vægt på, at listen ikke er udtømmende, så der kan være organisationer, der skal implementere flere eller andre kontroller. Det fordrer en vis grad af modenhed i den organisation, der anvender ISO27001, men giver også mulighed for løbende tilpasning i takt med ændringer i organisationen, teknologi og trusselsbilledet, Den internationale standard har en fleksibilitet i forhold til, at den kan anvendes sammen med andre rammeværk for informationssikkerhed som f.eks. CoBit eller ISF standard of good practice, ISO27001 er en international standard, hvilket letter samarbejdet med andre lande og i højere grad sikrer den nødvendige vedligeholdelse af standarden. Vedligeholdelse af ISO-standarder varetages af internationalt sammensatte ekspertgrupper, der med jævne mellemrum vurderer behovet for revision, Standard sikrer ensartede sikkerhedsprocesser. Side 5 af 5